Citrix NetScaler-Gateway con OTP (Einmaliges Passwort)

gut, Ich hatte lange will man diesen Posten verlassen, wo wir sehen, wie eine der großen Neuerungen von Citrix NetScaler ermöglichen 12, der es die Möglichkeit der Verwendung von OTP-Authentifizierungstyp (Einmaliges Passwort) oder Einweg- Passwort nativ ohne auf Drittherstellern bauen!

 

 

 

Seit Version NetScaler 12.0 FR1 und wenn wir loslassen Unternehmen o Platinum, wir voll integriert die Fähigkeit zu aktivieren und zu konfigurieren benötigen ein OTP zweistufige Authentifizierung. Wir können die Benutzer machen Ihr mobiles Gerät und mit Hilfe des Google Authenticator App zu bieten hat unser Unternehmensportal einen Zufallsschlüssel Passwort OTP eingeben, und stellen somit sicher, dass wir, die wir in unserem Unternehmen und kein Nutzer eingibt haben gestohlen Kennwort.

 

In diesem Dokument werden wir alle Schritte sehen notwendig, auch erstellen un vServer für die Nutzer zuerst Rekord Ihr Gerät (Portal wird diese verwenden, wenn sie ein neues Gerät registrieren möchten). Wir werden auch die notwendigen Einstellungen sehen, damit unsere Tor die Authentifizierungs OTP.

 

Wir betrachten Strom Citrix Receiver unterstützt es nicht, aber es wird ausschließlich verwendet werden (vorerst) mit Web-Browser, so muss der Benutzer die App herunterladen Google Authenticator (zum Beispiel) und registrieren und dann regelmäßig für den Zugriff auf Ihre Portalanwendungen oder Desktops, Ihr Passwort zu validieren und immer Random-Code erzeugt Sie erhalten aus der App.

 

wichtig, vor dem Start, stellen Sie sicher, den Zeitdienst haben konfiguriert NTP. Es wird davon ausgegangen, dass Sie bereits eine richtig konfigurierte NetScaler-Gateway validiert gegen Ihre Domain über einen Policy-Server und LDAP, dass wir für Benutzer verwenden das Portal zugreifen ‘manageotp‘ und sie können Ihr Gerät verwalten.

 

LDAP-Authentifizierung

 

 

von “Sicherheit” > “AAA - Application-Traffic” > “Polices” > “Authentifizierung” > “Erweiterte Richtlinien” > “Aktionen” > “LDAP” > “Hinzufügen…”, Wir erstellen einen neuen LDAP-Server. In meinem Fall werde ich anrufen “192.168.1.250_LDAP_OTP_sin_auth”, cumplimentamos Daten IP und den Port wie gewohnt, desmarcamos “Authentifizierung”, in “Administrator Bind DN” wir sind ein Konto, das über Berechtigungen zu ändern, das Attribut des OTP in unserem Active Directory-Konten hat. hinzufügen, (Recht) das Feld “OTP Geheimnis” Wir schaffen, was das Attribut in Benutzerkonten verwendet, um das Geheimnis OTP zu speichern (Wir können zum Beispiel verwenden Userparameters oder mehr, wie wir). klicken Sie auf “Erstellen” zu erstellen.

 

 

 

gut, Wir schaffen einen anderen LDAP-Server, In diesem Fall werden wir rufen “192.168.1.250_LDAP_OTP_valida_sin”, Es wird das gleiche wie oben, aber mit einer Änderung des Suchfilter, hinzufügen in Suchfilter der Wert Userparameters>= # @ und klicken Sie auf Erstellen.

 

lassen Sie uns “Sicherheit” > “AAA - Application-Traffic” > “Richtlinien” > “Authentifizierung” > “Erweiterte Richtlinien” > “Politik” und klicken Sie auf “Hinzufügen” für erstellen Sie eine Richtlinie Authentifizierung.

 

Wir zeigen Ihnen ein Name, in meinem Fall “192.168.1.250_LDAP_adv”, in Aktionstyp angezeigt “LDAP”, ausgewählt in Aktion unser Standard-LDAP-Server, die bereits am Anfang hatten wir in unserer Umwelt. in Ausdruck angezeigt wahr & wir klicken Sie auf Create!

 

Wir schaffen eine neue Politik, Dies wird für die Verwaltung von OTP verwendet werden, ich nenne “192.168.1.250_LDAP_OTP_sin_auth_adv”, in Aktionstyp wählen “LDAP”, in Aktion Wir assoziieren mit LDAP Auth-Server, die nicht filtern noch gesetzt, was es ist die erste die wir erstellt haben, in meinem Fall ist es “192.168.1.250_LDAP_OTP_sin_auth”. und in Ausdruck angezeigt: HTTP.REQ.COOKIE.VALUE(„NSC_TASS“).EQ(„Manageotp“) und klicken Sie auf Create.

 

 

und Wir schaffen eine neue Politik im vergangenen, Es wird zur Überprüfung verwendet werden, ich nenne “192.168.1.250_LDAP_OTP_valida_sin_auth_adv”, in Aktionstyp wählen “LDAP”, in Aktion Sie verbinden mit dem LDAP-Server, der keine Authentifizierung aktiviert hat, die sie hat sich das Geheimnis OTP und den Suchfilter, in diesem Fall war es “192.168.1.250_LDAP_OTP_valida_sin”. in Ausdruck angezeigt wahr und klicken Sie auf Create.

 

Login-Schema,

 

lassen Sie uns “Sicherheit” > “AAA - Application-Traffic” > “Login-Schema” > “Profile” > “Hinzufügen”,

 

Wir schaffen hier Login Schema einfach Faktor manageotp, Wir Form eines Namens zum Beispiel “Single_Manage_OTP_Login_Schema” und Authentifizierungsschema drücken Sie den Bleistift bearbeiten,

 

Wir filtern und suchen Sie die Datei SingleAuthManageOTP.xml, und klicken Sie auf “Wählen” dieses Schema wählen, Presse und “Erstellen”.

 

Klicken Sie auf Erstellen,

 

Wir schaffen ein anderes Login Schema Profil, diesmal für Zwei-Faktor-Authentisierung, wir nennen es, wie wir sehen, passen, in diesem Fall “Single_Manage_OTP_Login_Schema” und Authentifizierungsschema zurück zu bearbeiten,

 

Und gerade gehen, wir dieses Mal filtern und suchen DualAuth.xml, klicken Sie auf “Wählen” und “Erstellen”,

 

Klicken Sie auf Mehr… hinzufügen in Kennwort Credential Index ein 1 das Feld, um anzuzeigen, dass das Kennwort des Benutzers speichert, klicken Sie auf “Aktivieren Sie Single Sign On Credentials” und “Erstellen”,

 

gut, jetzt in Tab “Richtlinien” Lassen Sie uns die Erstellung von Richtlinien, klicken Sie auf “Hinzufügen“,

 

Wir geben einen Namen für die Politik (Taipei:”Single_Manage_OTP_Login_Sch_Pol”) was assoziieren Sie das Profil mit erstellt haben Login Schema einfach Faktor, es war “Single_Manage_OTP_Login_Schema” und wir erstellen eine Regel nur diese Website angezeigt werden, wenn der Benutzer zugegriffen / manageotp. Und wenn wir wollen,, Wir können auch den lokalen IP-Bereich unseres Netzwerks hinzufügen, so dass sie nur von innerhalb unseres Netzwerks aufnehmen (aus den gleichen Gründen der Sicherheit), fügen Sie die Regel:

http.req.cookie.value(“NSC_TASS”).eq(“manageotp”) && client.IP.SRC.IN_SUBNET(192.168.1.0/24)

klicken Sie auf “Erstellen”,

 

Wir schaffen eine andere Politik, diesmal für den Profil-Doppelauthentifizierungsfaktor, Wir geben ihm einen Namen, zum Beispiel “Dual_OTP_Login_Sch_Pol” und wählen Sie unsere zuvor erstellte Profil, in diesem Beispiel ist “Dual_OTP_Login_Schema”. in Regel angezeigt wahr Erstellen und geben!

 

Authentication Policy Labels,

 

weiter geht es, Nun lasst uns “Sicherheit” > “AAA - Application-Traffic” > “Richtlinien” > “Authentifizierung” > “Erweiterte Richtlinien” > “Politik Labels” > Hinzufügen”

 

Es wird für das Management und die Überprüfung der OTP verwendet werden, wir zeigen einen Namen “OTP_Auth_Pol_Label” und Associate in Login-Schema die LSCHEMA_INT, klicken Sie auf Weiter,

 

klicken Sie auf Politik Bindung,

 

und selecccionamos Politik Ich habe nicht die Auth aktiviert und hatte nur das Geheimnis OTP in meinem Fall war “192.168.1.250_LDAP_OTP_sin_auth_adv” und geben “Wählen”,

 

 

klicken Sie auf “Binden”,

 

klicken Sie auf “Bindung hinzufügen” für Einen weiteren hinzufügen Politik,

 

klicken Sie auf Wählen Sie Politik,

 

Und wählen Sie die Richtlinie, die die OTP in meinem Fall überprüft wurde “192.168.1.250_LDAP_OTP_valida_sin_auth_adv”, wir geben “Wählen”,

 

Und wir geben niedrigere Priorität dass die Politik mageotp, und wir geben “Binden”,

 

lassen Sie uns “Sicherheit” > “AAA - Application-Traffic”, was wir ermöglichen > “Virtuelle Server” > “Hinzufügen”,

 

Wir schaffen einen Authentifizierungsserver für OTP, keine Notwendigkeit zu adressieren, Wir zeigen hier einen Namen “OTP_AAA_Auth”, in IP-Adresstyp angezeigt “nicht Adressierbarer” und klicken Sie auf “OK”.

 

klicken Sie in “Kein Serverzertifikat”,

 

klicken Sie in “Wählen Sie Serverzertifikat”,

 

Und wählen Sie das Zertifikat, das Sie bereits installiert haben und gültig, in meinem Fall eine WildCard, “Wählen”,

 

“Binden”,

 

“Fortsetzen”,

 

Wir klicken, wo angezeigt “Keine Authentication Policy“,

 

klicken Sie auf “Wählen Sie Politik”,

 

Und wir wählen unsere üblichen LDAP Authentifizierungsrichtlinie, die sie Authentifizierung aktiviert,

 

klicken Sie in “Wählen Sie Next-Faktor”,

 

Beschriften und wählen Sie die Richtlinie, die wir geschaffen haben, für OTP.

 

klicken Sie auf “Binden”,

 

klicken Sie auf “Fortsetzen”,

 

Klicken Sie auf die rechtes Menü in “Login Schemen” und fügen Sie eine aus “Keine Anmeldung Schema”,

 

klicken Sie auf “Wählen Sie Politik”,

 

Und wir ausgewählt unsere Politik Login “Single_Manage_OTP_Login_Sch_Pol” Einzelfaktor, “Wählen”,

 

“Binden”

 

jetzt, klicken Sie auf “Login-Schema” und “Bindung hinzufügen”,

 

klicken Sie auf “Wählen Sie Politik”,

 

Und wählen Sie den Doppel Faktor in diesem Beispiel “Dual_OTP_Login_Sch_Pol”, & “Wählen”,

 

“Binden”,

 

Wir suchen im rechten Menü und fügen Sie ein Thema für das Portal von “Portal Themen”, wählen RfWebUI.

klicken Sie auf “OK”.

 

Verkehrspolitik,

 

lassen Sie uns “NetScaler-Gateway” > “Richtlinien” > “Der Verkehr” > “Verkehrsprofile” > “Hinzufügen”,

 

Erstellen Sie ein Verkehrsprofil OTP, Wir geben ihm einen Namen, in meinem Fall “OTP_NS_Traffic_Profile”, in SSO Passwort Expression angezeigt http.REQ.USER.ATTRIBUTE(1) und klicken Sie auf “Erstellen”.

 

Wir schaffen eine Politik aus “Verkehrspolitik” > “Hinzufügen”,

 

Wir Form eines Namens “OTP_NS_Traffic_Pol”, Wählen Sie das Profil gerade erstellt”OTP_NS_Traffic_Profile”, klicken Sie auf “Schalten Syntax auf Standard”, Wir verließen als Ausdruck wahr und klicken Sie auf “Erstellen”,

 

lassen Sie uns bearbeiten unsere virtuellen Server NetScaler-Gateway, lassen Sie uns “NetScaler-Gateway” > “Virtuelle Server” > wählten wir uns > “Bearbeiten”. Und Richtlinien hinzufügen!

 

 

in “wählen Sie Politik” Typ auswählen Der Verkehr, “Fortsetzen”,

 

klicken Sie auf “Wählen Sie Politik”,

 

Wählen Sie die neu erstellte Verkehrspolitik, es war “OTP_NS_Traffic_Pol” & “Wählen”,

 

“Binden”,

 

 

im rechts-Menü hinzugefügt die “Authentifizierungsprofil”,

 

Klicken Sie auf die Über “Authentifizierungsprofil”,

 

Wir erstellen ein Profil, das wir es mit dem Authentifizierungsserver verknüpfen wir geschaffen haben,, Wir geben ihm einen Namen und klicken Sie auf “Authentifizierung Virtual Server”,

 

Wählen Sie den Server, es war “OTP_AAA_Auth” & “Wählen”,

 

 

klicken Sie auf “Erstellen”,

 

klicken Sie auf “OK”,

 

Fügen Sie auch im Betreff virtuellen Server-Portal aus “Portal Themen” rechts,

 

Wählen Sie das Portal RfWebUI,

“OK” und speichern Sie die Konfiguration, Wenn Sie nicht glauben, es… und es ist!!!! casi als…

 

OTP-Management-Portal,

 

als Benutzer, zuerst, Wir sollten unsere Unternehmens-Website Zugriff auf Ihr mobiles Gerät registrieren, aber das Hinzufügen / manageotp am Ende der URL, zum Beispiel: https://citrix.openservices.eus/manageotp, muss der Benutzer ihre Anmeldeinformationen AD validieren.

 

Und von hier aus können Sie ein neues Gerät hinzufügen, um Token zu verwenden,, gibt ihm einen Namen und “Gerät hinzufügen”,

 

Sie würden ein QR-Code, der mit Ihrem Google Authenticator-App zu verbinden ist für iPhone oder iPad für beide Android-Geräten oder iOS Generika zur Verfügung scannen.

 

Und es sagt uns, dass erfolgreich registriert!

 

Jetzt kann der Benutzer jetzt Ihr Unternehmensportal immer und auch weiterhin geben Sie normalerweise arbeiten, Beim Zugriff auf, wie gesehen, Sie müssen ihre Anmeldeinformationen wie gewohnt bekommen und dann die OTP oder Einweg- Passwort, das Sie Handy bekommen.

 

und bereit! Dies wäre ein Einblick, was würde der Benutzer, Das wäre der Code, der zufällig generiert wird, und Sie müssen eingeben, wenn Sie brauchen. Längliche Einstellung aber mit sehr guten Ergebnissen in Bezug auf viel mehr Vertrauen in unserer Umwelt immer. Und wir werden nie Anmeldeinformationen von unseren Benutzern stehlen!